logox
Youtube Linkedin Facebook
חיפוש
logox
Youtube Linkedin Facebook
חיפוש
Rss Youtube Linkedin Facebook Instagram
חיפוש
CCSN logo Hebrew white

אבטחת סייבר – ערוכים לתקנות החדשות בתחום?

156691557 l scaled e1669007828960

ככל שאיומי הסייבר מתגברים וחברות ברחבי העולם מגדילות את תקציבי אבטחת הסייבר, כך קהילת הרגולציה, כולל ה-SEC, מקדמת דרישות שמחייבות יישור קו.

נכון להיום SEC (רשות ניירות ערך בארה"ב) יצאה עם טיוטה חדשה שנוגעת לסך התקנות הנדרשות מבחינת דיווחים על סיכוני סייבר, וזאת באופן ממוקד לחברות ציבוריות שנסחרות בבורסה. בין היתר זה אומר שנדרש לחשוף את יכולות אבטחת הסייבר – כולל התייחסות לתיאור תפקידים, ניהול סיכונים, מומחיות רלוונטית, נהלי התאוששות, תדירות של פגישות ואסטרטגיות משלימות בתחום אבטחת הסייבר. 

 

משנים גישה – מהתמגנות להתאוששות

ממצאים מצביעים על כך שרוב הארגונים מתמקדים בהגנת סייבר ולא בהתאוששות לאחר תקיפת סייבר, וככול הנראה מדובר בטעות מרכזית. יש להבין שלעומת הגנה, התאוששות מתקיפת סייבר מהותית – הכרחי לוודא שניתן להמשיך לפעול לאחר האירוע. 

עוד ממצאים מצביעים על כך שאין זה עניין של אם, אלא עניין של מתי חברה כזו או אחרת תחווה אירוע סייבר, ולכן המטרה הסופית להגיע למצב של המשך פעילות שוטפת, משמע התאוששות מהירה לאחר אירוע סייבר אינה פחות מחיונית.

 

כיצד התקנות החדשות של SEC משנות התמונה?

ממש לאחרונה, במרץ 2022, ה-SEC פרסמה טיוטת תקנות חדשות בכל הנוגע לסיכוני סייבר, אסטרטגיית פעולה וגילוי תקריות סייבר. בטיוטה, ​​ SECבין היתר מתארת את כוונתה לדרוש מחברות ציבוריות לבחון האם במועצת המנהלים קיימים חברים בעלי מומחיות בתחום אבטחת הסייבר, ופה נדרש להבין שהמהלך בין היתר עשוי להשפיע על שיתוף הפעולה מצד המשקיעים.

כמו כן, SEC עתידה לדרוש מחברות לחשוף את יכולות ניהול אבטחת הסייבר שעומדות לרשותן, לצד שקיפות מלאה לגבי התנהלות הדירקטוריון אל מול סיכוני סייבר. כל זאת לצד תיאור תפקיד של חברי ההנהלה בהערכת וניהול סיכוני סייבר, תיאור מומחיות רלוונטית בתחומי אבטחת סייבר, ותיאור נהלים ואסטרטגיות. 

שנפרט? כל מועצה תידרש להציג את הנתונים הבאים:

  • מי אחראי על פיקוח סיכוני סייבר. האם כל הדירקטוריון, חבר דירקטוריון ספציפי, או וועדה מסוימת.
  • תדירות הדיונים בתחום הסייבר.
  • תהליכי העברת המידע בכול הנוגע לסיכוני סייבר רלוונטיים.
  • האם וכיצד הדירקטוריון (או ועדת הדירקטוריון) מתייחס אל סיכוני סייבר כחלק מהאסטרטגיה העסקית, כחלק מניהול הסיכונים וכחלק מהפיקוח הפיננסי.

החדשות הטובות הן שרוב הדירקטוריונים מודעים לחשיבות הנושא וכבר פועלים. מחקר עדכני בתחום מציג את הנקודות הבאות: כמעט שני שליש מחברי הדירקטוריונים מאמינים שהארגון נמצא בסיכון למתקפת סייבר מהותית, אם כי הרוב הגדול מרגיש שרמת אבטחת הסייבר נאותה, ושהנושא נמצא בראש סדר העדיפויות. מצד שני, המחקר מצביע על שלל בעיות רלוונטיות. כ-47% מאמינים שהארגון אינו מוכן למתקפת סייבר. מסקנה? בכל הנוגע לאבטחת סייבר בארגון, יש מקום לשפר את סדר העדיפויות של חברי הדירקטוריון.

 

התאמה לסביבה הרגולטורית

כדי לספק פיקוח נאות ולציית לסביבה הרגולטורית, חברי מועצת המנהלים יצטרכו להגביר מאמצים בתחום אבטחת סייבר. חברי הדירקטוריון חייבים לנקוט בגישה שהתקפות סייבר רלוונטיות לגביהן וצפויות להופיע, ובמקביל לממש נהלי פיקוח. לשם כך נדרש לעבור הכנות מתאימות ולהכין תרחישי חזרה לשגרה. על מנת להצליח להתאושש במהירות מתקיפת סייבר, נדרש פיקוח מתאים מושתת תוכנית פעולה ברורה, ואף כזו שמושתתת על ניתוח עסקי כלכלי.

להלן דוגמה ליעילות התוכנית: מנכ"ל חברת שירותים פיננסיים הבין שהדירקטוריון אינו בקיא בהשפעות הרבות שכרוכות במתקפת סייבר, ולכן שכר חברת ייעוץ בתחום, ואף שיפר את הפוליסה של ביטוח הסייבר. הנקודה היא שככל שיותר מסתמכים על מועצת המנהלים כדי שתרחיב את תחום האחריות בתחום הסייבר, כך ברגע האמת החזרה לשגרה תהיה יותר חלקה.

 

עמידה בהנחיות החדשות ע"י 3 תובנות מרכזיות

לרשותכם מספר תובנות מעשיות שיאפשרו לדירקטוריון לעמוד בהנחיות החדשות של SEC – תובנות שיספקו את רמת הפיקוח הנחוצה מבחינת התמגנות:

  • פיתוח שפה משותפת 

מועצות המנהלים רוצות לפשט דיונים טכניים עמוסים במונחים מקצועיים. הרעיון הוא להציג בצורה נגישה כיצד התקפות סייבר מסכנות ארגונים כלכליים, ובמקביל להכין תכנית עבור חזרה מהירה לשגרה.

 

  • העלאת תדירות 

הדיונים בתחום מתקפות סייבר והדיונים אודות התאוששות ממתקפת סייבר נדרשים להתקיים בתדירות יותר גבוהה, בעיקר כיוון שמדובר בתחום מאוד דינאמי. כמו כן, ככל שהדירקטוריון נחשף לנושא בתדירות יותר גבוהה, כך הוא נעשה יותר מומחה בתחום. 

 

  • בניית גשרים 

מועצת המנהלים חייבת להיות יותר נגישה למנהלי אבטחת סייבר. ממצאים מראים שכאשר חברי מועצת המנהלים פונים לקציני אבטחת מידע בתדירות יותר גבוהה, כאשר צץ צורך דחו,ף ההיכרות הראשונית מסייעת להוביל את הדיונים למקום יותר יעיל. 

 

שינוי קטן לטובת שינוי גדול

לסיכום נציין שכדי לעמוד בדרישות ה-SEC באופן אורגני, לא נדרש הרבה, רק לשנות במעט את ההתנהלות. בעיקר נדרש "לחנך" את מועצת המנהלים כיצד לדבר על אבטחת סייבר, ואף נדרש לשלב כלי התאוששות, לאזן בין סיכונים עסקיים לסיכונים טכניים, לשלב בדיוני אבטחת סייבר התייחסות לחשיפות פיננסיות, וכמובן שגם נדרש להגביר את תדירות הדיון בתחום. 

 

פרסם כאן
מה חדש?
פרסם כאן
CCSN logo Hebrew white
ניוזלטר הסייבר סקיוריטי של Cisopost
מאמרים אחרונים
קישורים
כל הזכויות שמורות ל Cisopost © 2024
דילוג לתוכן